Bảo vệ dữ liệu

Một phần của tài liệu Giáo trình ứng dụng công nghệ thông tin trong doanh nghiệp (nghề lập trình máy tính) (Trang 115 - 120)

6.1 Đại cương thiết kế kiểm soát

Ở một số giai đoạn trong quá trình phát triển của hệ thống bao giờ cũng cần tiến hành các kiểm tra cần thiết để đảm bảo việc thực hiện đúng đắn cho hệ thống dự định. Việc kiểm soát hệ thống nhằm tránh một số nguy cơ và có biện pháp khắc phục như

 Mất mát và sai lệch thông tin

 Những sai lỗi của thông tin nảy sinh do quá trình thu thập

 Các sự cố kỹ thuật cả về phần cứng và phần mềm.

 Các ý đồ xấu như phá hoại có mục đích, vô thức hay chôm chỉa

 Rủi ro về môi trường như cháy nổ, bão lụt,

Ba khía cạnh cơ bảncủa hệ thống cần được bảo vệ bằng cách kiểm soát đó là:

 Độ chính xác: phải kiểm tra xem các giao tác đang được tiến hành có được thực hiện chính xác hay không và các thông tin được lưu giữ trong cơ sở dữ liệu của hệ thống có đúng đắn không.

 Độ an toàn: có một yêu cầu bao trùm về việc gìn giữ tài sản của công ty, để đảm bảo rằng không xảy ra mất mát dù cố ý hay vô tình, dù do chểnh mảng hay rủi ro.

 Độ riêng tư: cũng có nhu cầu kiểm tra xem các quyền của cá nhân và công ty khác có được bảo vệ không.

Có lẽ khía cạnh quan trọng nhất của vấn đề này là đảm bảo rằng hệ thống dự kiến sẽ tuân thủ những hạn chế do Luật bảo vệ dữ liệu áp đặt.

6.2 Nghiên cứu việc kiểm tra các thông tin thu nhập hay xuất ra

Mục đích của kiểm tra thông tin là bảo đảm tính xác thực của thông tin trước khi đưa vào xử lý và thông tin xuất ra được sử dụng. Yêu cầu mọi thông tin xuất ra hay nhập vào đều phải qua kiểm tra. Nơi kiểm tra là nơi thu nhập thông tin, trung tâm máy tính xử lý thông tin và nơi phân phát tài liệu. Nội dung kiểm tra là phát hiện lỗi và khắc phục sửa các lỗi đã phát hiện. Hình thức kiểm tra có thể thực hiện bằng thủ công (đầy đủ hay không đầy đủ), bằng tự động (trực tiếp hay gián tiếp) có tham khảo các thông tin khác.

Các hình thức kiểm tra theo trật tự kiểm tra trực tiếp trước, gián tiếp sau:

 Kiểm tra trực tiếp : Kiểm tra sự có mặt, khuôn dạng, kiểu, và miền giá trị

 Kiểm tra gián tiếp : Kiểm tra một thông tin khi mà các thông tin dùng cho việc kiểm tra đó đã được kiểm tra.

 Kiểm tra tự động: Kiểm tra sự ràng buộc toàn vẹn của dữ liệu.

6.3 Cách giai đoạn tiếp cận kỹ thuật phân tích các kiểm soát

Một trong những khái niệm quan trọng của kỹ thuật phân tích kiểm soát là điểm hở

Xác định các điểm hở trong hệ thống

Điểm hở là điểm mà tại đó thông tin của hệ thống có tiềm năng bị thâm nhập bởi những người trong hoặc ngoài tổ chức. Điều này không chỉ nói tới dạng đầu ra, như đơn mua hàng và bảng kiểm kê, mà còn nói tới mọi thông tin bên trong công ty mà nếu bị dùng sai thì có thể làm cho tài sản công ty chịu rủi ro. Mỗi khi xác định được điểm hở, cần phải tiến hành ba hoạt động: Xác định kiểu đe doạ từ chỗ hở, đánh giá các đe doạ và tình trạng đe doạ

Xác định kiểu đe doạ từ chỗ hở

Các kiểu đe doạ này bao gồm từ các hành động cố ý như ăn cắp hoặc phá hoại cho tới các nguy cơ mất mát tài sản và ảnh hưởng tới công việc nghiệp vụ của công ty, chẳng hạn như các quyết định quản lý tồi. Mức độ đe doạ dưới dạng thiệt hại tiềm năng cho hệ thống cũng cần được xem xét và tính toán.

Đánh giá các đe doạ

Có các mức độ đe doạ khác nhau: cao, thấp , vừa. Đe doạ cao là mối đe doạ lớn đến hệ thống có thể bị tổn thất nghiêm trọng nếu tình huống xấu nhất xuất hiện. Đe doạ vừa có nghĩa là hệ thống có thể bị thất thoát trong những trường hợp tồi nhất nhưng vẫn có thể chịu đựng được mà không ảnh hưởng đến nền nghiệp vụ. Đe doạ thấpcó nghĩa là hệ thống có thể dự kiến đựơc mối đe doạ và chuẩn bị được một số phương tiện để ngăn cản.

Xác định tình trạng đe doạ

Sau khi thấy được các mối đe doạ có thể có, nhóm kiểm tra có thể kiểm tra lại xem những đe doạ này xuất hiện như thế nào. Điều này bao gồm việc dùng biểu đồ luồng dữ liệu BLD. Theo dõi ngược lại điểm hở, rà soát các hoàn cảnh được biểu thị bởi từng quá trình và lỗi tiềm năng từ mỗi dòng dữ liệu. Giai đoạn này của việc phân tích điều khiển đòi hỏi rất nhiều trí tưởng tượng và óc sáng tạo. Một khía cạnh khác cần

kiểm tra tại giai đoạn này này là xác suất xuất hiện tình huống đe doạ. Thông tin này, cùng với các chi tiết trước đây về “mức độ đe doạ” có thể làm cho nhóm kiểm soát quyết định được về tầm quan trọng của mối nguy hiểm và giúp cho họ quyết định được tầm mức kiểm soát cần thực hiện.

Thiết kế các kiểm soát cần thiết

Sau khi đã nắm chắc được mức độ thiệt hại phát sinh từ điểm hở, nhà thiết kế phải quyết định các kiểm soát vật lý để ngăn cản hoặc làm giảm thiểu thiệt hại này.

Phân tích các nguy cơ thất thoát dữ liệu bao gồm việc phát hiện các điểm hở thường là các chỗ vào ra như các file, màn hình, phân tích các đe dọa từ chỗ hở như: phá hoại, lấy cắp gây sự lãng phí, làm sai lệch thông tin.

6.4 Các kỹ thuật bảo mật

Từ việc xác định các điểm hở và mối đe doạ của chúng, người thiết kế xác định các kỹ thuật bảo mật thích ứng. Có một số kỹ thuật bảo mật:

 Bảo mật vật lý là sử dụng các công cụ vật lý hoặc các tác động lên thiết bị như dùng khoá hay các hình thức báo động tự động. Tuy rằng các hình thức này cứng nhắc và thô bạo nhưng lại dễ thực hiện.

 Bảo mật bằng nhận dạng nhân sự, đó bảo mật dựa vào các kỹ thuật tiên tiến như kỹ thuật số, quang học.

 Bảo mật bằng mật khẩu là cách bảo mật phổ biến hiện nay nhằm ngăn chặn quyền truy cập khai thác hệ thống không phép.

 Bảo mật bằng tạo mật mã nhằm biến đổi dữ liệu từ dạng nhận thức được sang dạng mã. Phương pháp này tốn kém khó bảo trì nhưng phù hợp cho việc truyền dữ liệu và giải mã.

 Bảo mật bằng phương pháp xác thực.

6.5 Phân biệt quyền riêng tư (Privacy)

Phân biệt riêng tưlà phân biệt quyền truy nhập khác nhau đối với người dùng và cho phép uỷ quyền cho người khác. Biện pháp phân quyền là dùng tên mỗi người làm tiền tố cho mọi đối tượng. Người phân tích thiết kế có thể cài đặt phân quyền bằng sử dụng câu lệnh trong Sequel và SQL. Các thủ tục phân quyền là giao quyền (Grant), uỷ quyền và rút quyền (Revoke)

 Giao quyền : Các quyền xác định trên các đối tượng là dữ liệu và có các quyền là đọc (Read), chèn (Insert), loại bỏ (Delete), điều chỉnh giá trị thuộc tính (Update), thêm thuộc tính (Expand), Loại bỏ file (Drop), tạo tệp chỉ dẫn (Index), thực hiện chương tình (Run). Dạng lệnh Grant tổng quát:

GRANT <các quyền> ON <đối tượng> TO <danh sách người dùng>[WITH GRANT OPTION] {được uỷ quyền cho người khác}

Để chạy GRANT đưa thêm vào CSDL các quan hệ

 Rút quyền (REVOKE): Quy tắc rút quyềnlà nếu A bị rút quyền mà A đã uỷ quyền cho B thì B cũng bị rút quyền nếu B không bị nơi khác uỷ quyền vào thời điểm trước khi A nhận được quyền đó

CÂU HỎI CÂU 1: Hãy nêu các lược đồ ,các bước tiến hành thiết kế ?

CÂU 2: Nêu phân định hệ thống làm máy tính và hệ thống thủ công ,phân định các hệ thống con MT

CÂU 3: Nêu các mục đích cà hướng dẫn thiết kế giao diện

CÂU 4: Các bước thiết kế hệ thống

CÂU 5: Hãy nêu thiết kế cơ sở dữ liệu

CÂU 6: Hãy nêu thiết kế chương trình

THUẬT NGỮ CHUYÊN NGÀNH

Process : xử lý Input : nhập vào Output : xuất ra Feed back : phản hồi File : Tệp

Batch Processing : xử lý mẻ

on-line processing : Xử lý trực tuyến Space : dấu cách

request for quotation : bảng kê khai yêu cầu request for proposal : bảng đề xuất yêu cầu Term of references : câu hỏi cốt yếu

Structured System Analysis and Design Method : Phương pháp phân tích và thiết kế hệ thống có cấu trúc

Pseudo Code : Ngôn ngữ giả mã Internal Entity : Tác nhân trong External Entity : Tác nhân ngoài Data Store : Kho dữ liệu

Data Flows : Luồng dữ liệu

Process : Chức năng xử lí hay còn gọi là quá trình entity type : Kiểu thực thể

entity instance : thể hiện thực thể Domain : miền

Function dependence : Định nghĩa phụ thuộc hàm Overview : Báo cáo tổng h ợp

Current Activities : Báo cáo theo công việc Cost : Báo cáo tài chí nh

Assignement : Báo cáo giao việc

Workload : Báo cáo về phân tải công việc Directory Service : dịch vụ danh mục thông tin Registration service : hệ thống đăng ký dịch vụ Icon : biểu tượng

menu program : Chương trình đơn chọn

data entry program : Chương trình nhập dữ liệu

edit program : Chương trình biên tập kiểm tra dữ liệu vào update program : Chương trình cập nhật dữ liệu

display or inquiry program : Chương trình hiển thị, tra cứu compute program : Chương trình tính toán

print program : Chương trình in Privacy : Phân biệt quyền riêng tư Grant : giao quyền

Revoke : rút quyền Read : đọc

Insert : chèn Delete : loại bỏ

Update : điều chỉnh giá trị thuộc tính Expand : thêm thuộc tính

Drop : Loại bỏ file Index : tạo tệp chỉ dẫn Run : thực hiện chương tình

TÀI LIỆU THAM KHẢO

Information Technology Applications in Transport -Peter W. Bonsall, Michael Bell - 386 trang

Information-Based Manufacturing - Michael J. Shaw - 352 trang

Applications of Information Technology in ... J. W. S. Maxwell - 346 trang

Technology Literacy Applications In Learning Environments by David D. Carbonara (Editor) Publisher: Information Science Publishing (April 30, 2005)

Một phần của tài liệu Giáo trình ứng dụng công nghệ thông tin trong doanh nghiệp (nghề lập trình máy tính) (Trang 115 - 120)

Tải bản đầy đủ (PDF)

(120 trang)